Généralités EBICS TS

Owned by Bertrand Littel
Last updated: 09/08/2024
5 min read

Le protocole EBICS TS

En France, les télétransmissions bancaires sont normalisées par le Comité Français d'Organisation et de Normalisation Bancaires (CFONB), permettant ainsi aux entreprises de se connecter à leurs différentes banques françaises au moyen d'un seul et même équipement.

Les solutions EBICS (Electronic Banking Internet Communication Standard) et EBICS TS (EBICS Transport et Signature) reposent sur un protocole de communication sécurisé permettant l'échange de fichiers entre des clients et des établissements bancaires, dans les 2 sens (client vers banque et banque vers client), via une connexion IP (Internet). Elle s'impose comme la solution industrielle de remplacement des protocoles français de télétransmission ETEBAC 3 et 5, en vigueur depuis les années 80.
Le protocole EBICS est en particulier destiné à l'acheminement d'instructions de paiements européens (SEPA) mais aussi nationaux (VO, LCR, …) ainsi que des restitutions clientèles (extraits de comptes, …).
EBICS a été conçu par le ZKA (équivalent allemand du CFONB). La version 2.4.1 d'EBICS constitue la première version commune Franco-Allemande. C'est cette version qui est mise en œuvre dans Divalto Règlements.
Avec EBICS T, le donneur d'ordre de paiement transfère ses fichiers par le canal EBICS et les valide par un autre canal (fax, parapheur électronique,...).

Avec EBICS TS, les fichiers sont signés numériquement avec un certificat électronique[ |http://mesfluxdepaiement.fr/gestion-securisation-des-paiements/securisation-paiements/certificats-electroniques]contenu dans une clé personnelle (ou token) avant d'être transférés à la banque.

 

Aspects techniques

EBICS est un protocole sur IP, utilisant des messages XML véhiculés par le standard HTTPS. EBICS utilise les standards RSA, AES et X.509 pour ses aspects cryptographiques.
EBICS utilise trois paires de clés RSA :

  • la clé de signature pour créer la signature électronique du fichier d'ordre,

  • la clé de chiffrement, pour transmettre la clé AES ayant servi pour chiffrer le fichier d'ordre (on a donc un chiffrement hybride),

  • la clé d'authentification, pour signer le message XML EBICS.

 

L'implémentation française utilise des certificats X.509 pour la gestion de ces trois paires de clés.
EBICS permet aussi bien de transmettre des fichiers XML comme ceux utilisés par SEPA que les fichiers des anciens formats fixes. Avant d'être transmis, un fichier d'ordre est zippé, chiffré, puis encodé en Base64. Le résultat est ensuite découpé en segments de 1 Mo maximum, et chacun de ces segments est inséré dans un message XML.
La transaction EBICS se fait toujours à l'initiative du[ |https://fr.wikipedia.org/wiki/Client-serveur]client, que ce soit dans le sens du client vers la banque (virements, prélèvements...) ou dans le sens de la banque vers le client (relevés de compte...).

Mise en oeuvre

Cette brochure technique décrit uniquement la mise en œuvre d'EBICS TS, un autre document existe pour la mise en œuvre d'EBICS T.
Pour EBICS TS, la signature des données transmises permettra de ne pas avoir besoin de confirmation disjointe (fax, portail internet de l'établissement bancaire, …).

Prérequis EBICS TS

DLL Ebics-TS

La mise en œuvre d'Ebics TS nécessite un runtime 7.5a,
Elle nécessite également que les fichiers/programmes suivants soient présents dans le répertoire \divalto\sys\ :

  • DhEbicsLink.dll (installée par le runtime),

  • aoEbicsLib.dll (installée par le runtime),

  • les DLLs OpenSSL pour la création des certificats auto-signés :

    • DhOpenSSL.dll

    • DhOpenSSL.dhop

    • DhOpenSSL.certif.pem

    • DhOpenSSL.config.txt

 

Licence tem~poraire

Les programmes Ebics-TS nécessite d'activer une licence dans xDivaltoLicense :

Il suffit de remplir cet encart comme toute autre licence, et de communiquer votre code de configuration au Service Commandes de Divalto qui vous fournira un code d'utilisation. A la validation de ce code, une date d'expiration sera renseignée à droite de la case à cocher.
Comme toute licence temporaire, à l'issue de cette date, un délai de grâce de 15 jours sera activé :

Vous aurez alors 15 jours pour réactiver cette licence, sinon les programmes seront bloqués :

 

A partir de la 10.1 :

A partir des versions 10, les licences sont nommées et gérées via l'outil DLMT, cette licence EBICS TS doit être affectée en tant qu'option sur un utilisateur.

 

 

Licence de déverrouillage de la DLL

Les programmes Ebics-TS utilise une librairie qui a besoin d'être déverrouillée. La demande de licence doit être effectuée auprès du Service Commandes de Divalto au moyen du programme de gestion de licence (Etebac / Ebics  Utilitaires  Ebics TS - Gestion des licences).
Voici les étapes à effectuer :

  • lancer une première fois le programme et imprimer la demande,

  • envoyer la demande au Service Commandes de Divalto,

  • le Service Commandes vous enverra un code d'utilisation,

  • lancer une seconde fois le programme, entrer le code d'utilisation fourni et activer la licence,

  • votre licence est activée et les programmes prêts à fonctionner.

 

Paramètres généraux

La mise en œuvre d'Ebics TS nécessite le paramétrage de plusieurs éléments :
(1) des chemins :

  • répertoire des certificats,

  • répertoire des templates de la DLL aoEbicsLib.dll, o répertoire des fichiers temporaires de la DLL aoEbicsLib.dll,  des paramètres de serveur proxy (2) :

  • adresse du serveur proxy, o port du serveur proxy, o login et mode de passe d'authentification, le cas échéant.

 

Ces paramètres devront être saisis dans la table Paramètres généraux (Etebac / Ebics > Tables).

 

Divalto préconise que le répertoire auquel se rapporte le chemin EBICS_CERTIFICATS soit un sous-répertoire du répertoire Divalto, nommé « Ebics ».
Attention ! Si EBICS T était auparavant paramétré sur la même machine, le chemin EBICS_CERTIFICATS était paramétré dans le dossier de Divalto Règlements.

 

Note : le sous-répertoire « Ebics » dans /Divalto a normalement été créé automatiquement lors de l'installation du runtime.
Le répertoire des templates sera créé par le runtime suivant : \divalto\ebics\pattern.

 

 

en EBICS TS

le chemin doit être “windows” par conséquent le répertoire visé doit être partagé avec des droits d’accès windows et que le poste client, depuis lequel la licence EBICS TS est installée puisse bien y accéder.

Dans le cas d’une installation avec le serveur de données (xlan) hébergeant les certificats/pattern il faut donc un répertoire windows \\xlan\divalto\ebics partagé et accessible depuis la session windows du “signataire” depuis lequel est branchée la clé personnelle (Token) physiquement.

le poste “EBICS_TS” avec la session windows du “signataire” doit pouvoir accéder à \\xlan\divalto\ebics d’un point de vue “windows”